
ที่มาภาพ: The Hacker News
SharePoint พบช่องโหว่ RCE CVE‑2026‑45659 เพิ่มในรายการ KEV ของ CISA
⚡ สรุป 30 วิ
Microsoft SharePoint Server มีช่องโหว่ระดับสูง CVE‑2026‑45659 ที่ให้ผู้โจมตีรันโค้ดระยะไกลและถูกเพิ่มใน KEV ของ CISA…
Microsoft SharePoint Server เผชิญช่องโหว่ระดับสูงที่ได้รับการบันทึกเป็น CVE‑2026‑45659 และถูกเพิ่มเข้าสู่รายการ Known Exploited Vulnerabilities (KEV) ของ CISA** หลังจากพบหลักฐานการโจมตีจริง การเปิดเผยนี้ทำให้ผู้ดูแลระบบต้องเร่งตรวจสอบและอัปเดตเพื่อป้องกันการรันโค้ดระยะไกลจากการจัดการข้อมูลที่ไม่ได้รับการตรวจสอบ
Overview
ช่องโหว่นี้เป็นช่องโหว่ Remote Code Execution (RCE) ที่เกิดจากการทำ deserialization ของข้อมูลที่ไม่เชื่อถือได้บน Microsoft SharePoint Server ตามที่ CISA** รายงานในวันพุธที่ผ่านมา การบันทึกลงในฐานข้อมูล KEV แสดงให้เห็นว่ามีการใช้งานช่องโหว่นี้ในโลกจริง ซึ่งทำให้ความเสี่ยงต่อองค์กรที่ใช้ SharePoint เพิ่มสูงขึ้นอย่างมีนัยสำคัญ
จากมุมมองของผู้เชี่ยวชาญด้านความปลอดภัย การที่ช่องโหว่ระดับ CVSS 8.8 ถูกจัดให้อยู่ในระดับ “สูง” นั้นสอดคล้องกับความสามารถของผู้โจมตีในการควบคุมระบบเป้าหมายได้โดยตรง การบรรจุใน KEV จึงเป็นสัญญาณเตือนที่องค์กรควรให้ความสำคัญเป็นอันดับต้น ๆ
Technical Details
CVE‑2026‑45659 เกิดจากการจัดการข้อมูลที่ไม่ได้รับการตรวจสอบ (untrusted data) ในขั้นตอนการ deserialize ภายในโมดูลของ SharePoint ซึ่งอาจทำให้ผู้โจมตีส่งโค้ดที่เป็นอันตรายเข้าไปและทำให้ระบบรันโค้ดโดยไม่ได้รับอนุญาต
กระบวนการ deserialization ที่ไม่ปลอดภัยมักเกี่ยวข้องกับการแปลงข้อมูลจากรูปแบบไบนารีหรือข้อความกลับเป็นอ็อบเจกต์ของโปรแกรม หากไม่มีการตรวจสอบความสมบูรณ์ของข้อมูลที่เข้ามา ผู้โจมตีสามารถฝัง payload ที่ทำให้ระบบทำงานตามที่ต้องการได้
ในเชิงเทคนิค ช่องโหว่นี้ไม่ได้จำกัดแค่การทำงานบนระบบปฏิบัติการใดระบบปฏิบัติการหนึ่งเท่านั้น แต่ขึ้นอยู่กับเวอร์ชันของ SharePoint Server ที่มีฟังก์ชันการ deserialize ที่มีช่องโหว่นี้อยู่ ซึ่งทำให้การประเมินความเสี่ยงต้องอิงตามการใช้งานจริงของแต่ละองค์กร
Exploitation Activity
ตามรายงานของ CISA มีหลักฐานชัดเจนว่าแหล่งโจมตีได้ใช้ช่องโหว่นี้ในการทำการโจมตีจริง โดยมีการสังเกตพฤติกรรมของเครือข่ายที่แสดงถึงการส่ง payload ไปยังเซิร์ฟเวอร์ SharePoint ที่ไม่ได้รับการป้องกัน
การโจมตีแบบ RCE นี้มักจะนำไปสู่การรับสิทธิ์ระดับผู้ดูแลระบบ (administrator) หรือการรันคำสั่งบนเซิร์ฟเวอร์ ซึ่งสามารถทำให้ข้อมูลสำคัญถูกขโมยหรือทำลายได้ การที่ผู้โจมตีสามารถทำเช่นนี้ได้โดยอัตโนมัติ ทำให้ความเสี่ยงต่อการแพร่กระจายของการโจมตีเพิ่มขึ้นอย่างรวดเร็ว
โดยทั่วไป การสังเกตการใช้ช่องโหว่นี้จะปรากฏในบันทึกการเข้าถึง (access logs) ที่มีการร้องขอ URL หรือพารามิเตอร์ที่ผิดปกติ ซึ่งอาจเป็นสัญญาณเตือนให้ผู้ดูแลระบบทำการตรวจสอบเพิ่มเติม
Response & Mitigation
CISA แนะนำให้ผู้ดูแลระบบขององค์กรที่ใช้ Microsoft SharePoint Server ทำการตรวจสอบเวอร์ชันและการตั้งค่าปัจจุบันทันที รวมถึงตรวจสอบว่ามีการติดตั้งแพตช์หรืออัปเดตจาก Microsoft ที่แก้ไขช่องโหว่นี้หรือไม่
หากไม่มีแพตช์ที่พร้อมใช้งาน คำแนะนำเบื้องต้นคือการปิดหรือจำกัดการเข้าถึงฟีเจอร์ที่เกี่ยวข้องกับการ deserialize ผ่านการตั้งค่าไฟร์วอลล์แอปพลิเคชัน (WAF) หรือการใช้ระบบตรวจจับการบุกรุก (IDS/IPS) เพื่อลดความเสี่ยงจากการโจมตี
นอกจากนี้ การทำ security hardening ของ SharePoint Server เช่น การจำกัดสิทธิ์ผู้ใช้, การตรวจสอบและบันทึกกิจกรรมที่ผิดปกติ, และการใช้โซลูชันการสแกนช่องโหว่เป็นขั้นตอนที่ควรทำควบคู่ไปกับการอัปเดตซอฟต์แวร์
Impact
ช่องโหว่ CVE‑2026‑45659 มีศักยภาพในการทำให้ระบบ SharePoint ถูกควบคุมโดยผู้โจมตี ทำให้ข้อมูลองค์กรที่จัดเก็บบนแพลตฟอร์มนี้อาจถูกเปิดเผยหรือทำลายได้โดยง่าย เนื่องจาก SharePoint มักใช้เป็นศูนย์กลางการทำงานร่วมกันของเอกสารและข้อมูลสำคัญ
องค์กรที่พึ่งพา SharePoint เป็นหลักในกระบวนการทำงาน เช่น ภาครัฐ, ธนาคาร, และบริษัทเทคโนโลยีขนาดใหญ่ จะต้องประเมินผลกระทบต่อการดำเนินงานและพิจารณาการสำรองข้อมูลอย่างสม่ำเสมอ เพื่อลดความเสียหายจากเหตุการณ์ที่อาจเกิดขึ้น
การที่ช่องโหว่นี้ได้ถูกเพิ่มใน KEV ของ CISA แสดงให้เห็นว่าผู้โจมตีกำลังมุ่งเน้นที่แพลตฟอร์มที่มีการใช้งานกว้างขวาง การตอบสนองอย่างรวดเร็วและการสื่อสารภายในองค์กรจึงเป็นปัจจัยสำคัญในการป้องกันการโจมตีในระดับต่อไป
Summary
CVE‑2026‑45659 เป็นช่องโหว่ระดับสูงของ Microsoft SharePoint Server ที่ทำให้เกิดการรันโค้ดระยะไกลจากการ deserialize ข้อมูลที่ไม่เชื่อถือได้ และได้รับการบันทึกในรายการ KEV ของ CISA หลังจากมีหลักฐานการโจมตีจริง ผู้ดูแลระบบควรเร่งตรวจสอบและอัปเดตระบบเพื่อลดความเสี่ยงต่อการละเมิดข้อมูลและการหยุดชะงักของบริการ.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 2 กรกฎาคม 2569 เวลา 12:46



